Captulo 3 VLAN.

Definiciones de VLAN

Dentro de un entorno de internetwork conmutada, las VLAN proporcionan la segmentacin y la flexibilidad

organizativa. Las VLAN proporcionan una manera de agrupar dispositivos dentro de una LAN. Un grupo de
dispositivos dentro de una VLAN se comunica como si estuvieran conectados al mismo cable. Las VLAN se
basan en conexiones lgicas, en lugar de conexiones fsicas.

Las VLAN permiten que el administrador divida las redes en segmentos segn factores como la funcin, el
equipo del proyecto o la aplicacin, sin tener en cuenta la ubicacin fsica del usuario o del dispositivo. Los
dispositivos dentro de una VLAN funcionan como si estuvieran en su propia red independiente, aunque
compartan una misma infraestructura con otras VLAN

Beneficios de las redes VLAN

Seguridad: los grupos que tienen datos sensibles se separan del resto de la red, lo que disminuye
las posibilidades de que ocurran violaciones de informacin confidencial. Como se muestra en la
ilustracin, las computadoras del cuerpo docente estn en la VLAN 10 y separadas por completo del
trfico de datos de los estudiantes y los Invitados.

Reduccin de costos: el ahorro de costos se debe a la poca necesidad de actualizaciones de red

costosas y al uso ms eficaz de los enlaces y del ancho de banda existentes.

Mejor rendimiento: la divisin de las redes planas de capa 2 en varios grupos de trabajo lgicos
(dominios de difusin) reduce el trfico innecesario en la red y mejora el rendimiento.

Dominios de difusin reducidos: la divisin de una red en redes VLAN reduce la cantidad de
dispositivos en el dominio de difusin. Como se muestra en la ilustracin, existen seis computadoras en
esta red, pero hay tres dominios de difusin: Cuerpo docente, Estudiantes e Invitados.

Mayor eficiencia del personal de TI: las VLAN facilitan el manejo de la red debido a que los
usuarios con requerimientos similares de red comparten la misma VLAN.

Administracin ms simple de aplicaciones y proyectos: las VLAN agregan dispositivos de red y

usuarios para admitir los requisitos geogrficos o comerciales.

Tipos de VLAN

VLAN de datos
Una VLAN de datos es una VLAN configurada para transportar trfico generado por usuarios. Una VLAN que
transporta trfico de administracin o de voz no sera una VLAN de datos. Es una prctica comn separar el
trfico de voz y de administracin del trfico de datos. A veces a una VLAN de datos se la denomina VLAN de
usuario. Las VLAN de datos se usan para dividir la red en grupos de usuarios o dispositivos.

VLAN predeterminada

Todos los puertos de switch se vuelven parte de la VLAN predeterminada despus del arranque inicial de un
switch que carga la configuracin predeterminada. Los puertos de switch que participan en la VLAN
predeterminada forman parte del mismo dominio de difusin. Esto admite cualquier dispositivo conectado a
cualquier puerto de switch para comunicarse con otros dispositivos en otros puertos de switch. La VLAN
predeterminada para los switches Cisco es la VLAN 1.

VLAN nativa

Una VLAN nativa est asignada a un puerto troncal 802.1Q. Los puertos de enlace troncal son los enlaces
entre switches que admiten la transmisin de trfico asociado a ms de una VLAN. Los puertos de enlace
troncal 802.1Q admiten el trfico proveniente de muchas VLAN (trfico con etiquetas), as como el trfico que
no proviene de una VLAN (trfico sin etiquetar).

VLAN de administracin

Una VLAN de administracin es cualquier VLAN que se configura para acceder a las capacidades de
administracin de un switch. La VLAN 1 es la VLAN de administracin de manera predeterminada. Para crear
la VLAN de administracin, se asigna una direccin IP y una mscara de subred a la interfaz virtual de switch
(SVI) de esa VLAN, lo que permite que el switch se administre mediante HTTP, Telnet, SSH o SNMP.

VLAN de voz

Se necesita una VLAN separada para admitir la tecnologa de voz sobre IP (VoIP). El trfico de VoIP requiere:

Ancho de banda garantizado para asegurar la calidad de la voz

Prioridad de la transmisin sobre los tipos de trfico de la red

Capacidad para ser enrutado en reas congestionadas de la red

Una demora inferior a 150 ms a travs de la red

Enlaces troncales de la VLAN

Un enlace troncal es un enlace punto a punto entre dos dispositivos de red que lleva ms de una VLAN. Un
enlace troncal de VLAN ampla las VLAN a travs de toda la red. Cisco admite IEEE 802.1Q para coordinar
enlaces troncales en las interfaces Fast Ethernet, Gigabit Ethernet y 10-Gigabit Ethernet.

Las VLAN no seran muy tiles sin los enlaces troncales de VLAN. Los enlaces troncales de VLAN permiten
que se propague todo el trfico de VLAN entre los switches, de modo que los dispositivos que estn en la
misma VLAN pero conectados a distintos switches se puedan comunicar sin la intervencin de un router.

Etiquetado de tramas de Ethernet para la identificacin de

VLAN

Cuando el switch recibe una trama en un puerto configurado en modo de acceso y asignado a una VLAN, el
switch coloca una etiqueta VLAN en el encabezado de la trama, vuelve a calcular la FCS y enva la trama
etiquetada por un puerto de enlace troncal.

Detalles del campo de etiqueta de la VLAN

El campo de etiqueta de la VLAN consta de un campo de tipo, un campo de prioridad, un campo de

identificador de formato cannico y un campo de ID de la VLAN:

Tipo: es un valor de 2 bytes denominado ID de protocolo de etiqueta (TPID). Para Ethernet, este
valor se establece en 0x8100 hexadecimal.

Prioridad de usuario: es un valor de 3 bits que admite la implementacin de nivel o de servicio.

Identificador de formato cannico (CFI): es un identificador de 1 bit que habilita las tramas Token
Ring que se van a transportar a travs de los enlaces Ethernet.

ID de VLAN (VID): es un nmero de identificacin de VLAN de 12 bits que admite hasta 4096 ID de
VLAN.

Rangos de VLAN en los switches Catalyst

Los distintos switches Cisco Catalyst admiten diversas cantidades de VLAN. La cantidad de VLAN que
admiten es suficiente para satisfacer las necesidades de la mayora de las organizaciones

VLAN de rango normal

Se utiliza en redes de pequeos y medianos negocios y empresas.

Se identifica mediante un ID de VLAN entre 1 y 1005.

 Los ID de 1002 a 1005 se reservan para las VLAN Token Ring y FDDI.

Los ID 1 y 1002 a 1005 se crean automticamente y no se pueden eliminar.

Las configuraciones se almacenan en un archivo de base de datos de VLAN, denominado vlan.dat.

El archivo vlan.dat se encuentra en la memoria flash del switch.

El protocolo de enlace troncal de VLAN (VTP), que permite administrar la configuracin de VLAN
entre los switches, solo puede descubrir y almacenar redes VLAN de rango normal.

VLAN de rango extendido

Posibilita a los proveedores de servicios que amplen sus infraestructuras a una cantidad de clientes
mayor. Algunas empresas globales podran ser lo suficientemente grandes como para necesitar los ID
de las VLAN de rango extendido.

Se identifican mediante un ID de VLAN entre 1006 y 4094.

Las configuraciones no se escriben en el archivo vlan.dat.

Admiten menos caractersticas de VLAN que las VLAN de rango normal.

Se guardan en el archivo de configuracin en ejecucin de manera predeterminada.

VTP no aprende las VLAN de rango extendido.

Creacin de una VLAN

Asignacin de puertos a las redes VLAN

Despus de crear una VLAN, el siguiente paso es asignar puertos a la VLAN. Un puerto de acceso puede
pertenecer a una sola VLAN por vez; una excepcin a esta regla es un puerto conectado a un telfono IP, en
cuyo caso, hay dos VLAN
asociadas al puerto: una para
voz y otra para datos

Cambio de pertenencia de puertos de una VLAN

Existen varias maneras de cambiar la pertenencia de puertos de una VLAN.

Eliminacin de VLAN

En la ilustracin, se utiliza el comando no vlan id-vlan del modo de configuracin global para eliminar la
VLAN 20 del switch. El switch S1 tena una configuracin mnima con todos los puertos en la VLAN 1 y una
VLAN 20 sin usar en la base de datos de VLAN. El comando show vlan briefverifica que la VLAN 20 ya
no est presente en el archivo vlan.dat despus de utilizar el comando no vlan 20.
Configuracin de enlaces troncales IEEE 802.1Q

Un enlace troncal de VLAN es un enlace de capa 2 del modelo OSI entre dos switches que transporta el
trfico para todas las VLAN (a menos que se restrinja la lista de VLAN permitidas de manera manual o
dinmica). Para habilitar los enlaces troncales, configure los puertos en cualquier extremo del enlace fsico
con conjuntos de comandos paralelos

Restablecimiento del enlace troncal al estado

predeterminado
 Problemas comunes con enlaces troncales

En general, los problemas de enlaces troncales se deben a una configuracin incorrecta. Al configurar las
VLAN y los enlaces troncales en una infraestructura conmutada, los errores de configuracin ms frecuentes
son los siguientes:

Incompatibilidad de VLAN nativa: los puertos de enlace troncal se configuraron con VLAN nativas
diferentes. Este error de configuracin genera notificaciones de consola y provoca que el trfico de
control y administracin se dirija errneamente. Esto representa un riesgo de seguridad.

Incompatibilidades de modo de enlace troncal: un puerto de enlace troncal est configurado en

un modo que no es compatible para enlaces troncales en el puerto peer correspondiente. Estos errores
de configuracin hacen que el vnculo de enlace troncal deje de funcionar.

VLAN permitidas en enlaces troncales: no se actualiz la lista de VLAN permitidas en un enlace

troncal con los requisitos de enlace troncal de VLAN actuales. En este caso, se enva trfico inesperado
o ningn trfico al enlace troncal.

Ataque de suplantacin de identidad de switch

Existen diferentes tipos de ataques a VLAN en las redes conmutadas modernas. La arquitectura VLAN
simplifica el mantenimiento de la red y mejora el rendimiento, pero tambin posibilita el uso indebido. Es
importante comprender la metodologa general detrs de estos ataques y los mtodos principales para
mitigarlos.

Los saltos de VLAN permiten que una VLAN pueda ver el trfico de otra VLAN. La suplantacin de identidad
de switch es un tipo de ataque con salto de VLAN que funciona mediante el aprovechamiento de un puerto de
enlace troncal mal configurado. De manera predeterminada, los puertos de enlace troncal tienen acceso a
todas las VLAN y pasan el trfico para varias VLAN a travs del mismo enlace fsico, generalmente entre
switches.

La mejor manera de prevenir un ataque de suplantacin de identidad de switch bsico es inhabilitar los
enlaces troncales en todos los puertos, excepto en los que especficamente requieren enlaces troncales. En
los puertos de enlace troncal requeridos, inhabilite DTP y habilite los enlaces troncales manualmente.

Ataque de etiquetado doble

Otro tipo de ataque VLAN es el ataque con salto de VLAN de etiquetado doble (o de encapsulado doble). Este
tipo de ataque aprovecha la forma en que funciona el hardware en la mayora de los switches. La mayora de
los switches realizan solo un nivel de desencapsulacin 802.1Q, lo que permite que un atacante incorpore una
etiqueta 802.1Q oculta en la trama. Esta etiqueta permite que la trama se reenve a una VLAN que la etiqueta
802.1Q original no especific. Una caracterstica importante del ataque con salto de VLAN de encapsulado
doble es que funciona incluso si se inhabilitan los puertos de enlace troncal, ya que, generalmente, un host
enva una trama por un segmento que no es un enlace troncal.